Determina filtros de eventos para los registros de auditoría de Cloud

Un activador de Eventarc declara tu interés en un evento o conjunto de eventos determinado. En el caso de los registros de auditoría de Cloud, los activadores se aplican cuando se crea un registro de auditoría que coincide con los criterios del filtro del activador, lo que te permite capturar eventos específicos y reaccionar ante ellos.

Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta Servicios de Google con registros de auditoría.

Para obtener una lista de los eventos de registro de auditoría compatibles con Eventarc, incluidos los valores serviceName y methodName, consulta Eventos compatibles con Eventarc.

A fin de identificar los filtros de eventos exactos necesarios para crear un activador, genera el evento que deseas capturar y, luego, visualiza su entrada de registros de auditoría de Cloud correspondiente.

  1. Asegúrate de haber habilitado los tipos de registros de auditoría de acceso a los datos para tu servicio.

    Ir a Registros de auditoría

    Ten en cuenta que cualquier servicio que tenga habilitada la auditoría de forma predeterminada no se mostrará en la lista.

    1. En la tabla principal de la página Registros de auditoría, selecciona un servicio de Google Cloud desde la columna Título.

    2. En la pestaña Tipo de registro, selecciona las casillas de verificación Lectura de administración, Lectura de datos y Escritura de datos. A continuación, haz clic en Guardar.

  2. Realiza la operación para la que deseas crear un filtro de eventos y genera una entrada de registro de auditoría. Por ejemplo, almacena un archivo en un bucket de Cloud Storage.

  3. En Cloud Console, ve a la página Explorador de registros.

    Ir al Explorador de registros

  4. En el panel Compilador de consultas, crea y ejecuta una consulta para filtrar las entradas del registro y recuperar los resultados. Por ejemplo:

    resource.type="gcs_bucket" resource.labels.bucket_name="eventarc-bucket"
    

    Si deseas obtener más detalles sobre cómo compilar consultas para recuperar y definir mejor los registros, visita Compila consultas de registros.

  5. Para ver los detalles completos de una entrada de registro, haz clic en la flecha desplegable (▸) al comienzo de la entrada.

    El campo protoPayload distingue una entrada de registro de auditoría de otras entradas de registro. En el siguiente ejemplo, se omiten algunas partes de la entrada de registro y se destacan algunos campos:

    {
       protoPayload:{
          @type:"type.googleapis.com/google.cloud.audit.AuditLog",
          status:{},
          authenticationInfo:{},
          requestMetadata:{},
          serviceName:"storage.googleapis.com",
          methodName:"storage.objects.create",
          authorizationInfo:[],
          resourceName:"projects/_/buckets/eventarc-bucket/objects/random.txt",
          resourceLocation:{}
       },
       insertId:"il9evleafpdk",
       resource:{
          type:"gcs_bucket",
          labels:{
             project_id:"cloud-run-test",
             location:"us-central1",
             bucket_name:"eventarc-bucket"
          }
       },
       timestamp:"2021-03-05T15:55:20.754688805Z",
       severity:"INFO",
       logName:"projects/cloud-run-test/logs/cloudaudit.googleapis.com%2Fdata_access",
       receiveTimestamp:"2021-03-05T15:55:20.884984611Z"
    }
    

    • La siguiente información se puede usar para verificar el contenido de esta entrada de registro de auditoría:

      • El campo protoPayload.@type es type.googleapis.com/google.cloud.audit.AuditLog.

      • El campo logName incluye el dominio cloudaudit.googleapis.com.

    • El campo protoPayload.serviceName es el servicio que escribió el registro de auditoría.

    • El campo protoPayload.methodName es la operación que se audita.

    • El campo protoPayload.resourceName es el recurso que se audita.

    Para obtener más detalles sobre cómo encontrar información en una entrada de registro de auditoría, consulta Información sobre los registros de auditoría.

¿Qué sigue?